Hoe uw DPO de hoge verwachtingen wel inlost ! (Deel 1 / 3)

/in /door

Grote kans dat uw organisatie of bedrijf voor 25 mei 2018 een Data Protection Officer (DPO) moet aanstellen. In het Nederlands heet dit een Functionaris Gegevensbescherming (FG). Deze rol wordt namelijk verplicht gesteld volgens de Algemene Verordening Gegevensbescherming (AVG; en in Engels: EU General Data Protection Regulation, GDPR). Overheidsinstellingen en bedrijven die intensief persoonsgegevens verwerken zijn vaak al snel verplicht een dergelijke DPO aan te stellen.

Mits deze DPO functie goed is ingeregeld en juist bemand, kan dit komende tijd weleens een heel waardevol bezit worden voor uw organisatie. De DPO kan uw organisatie zelfs behoeden voor incidenten, boetes, datalekken en bijbehorende reputatieschade.

Artikel-reeks in drie delen

De verwachtingen vanuit de (Europese) wetgever over wat de DPO zou moeten gaan bewerkstelligen, zijn hoog gespannen. De functie wordt stevig neergezet in de wet met allerlei zware taken en bevoegdheden. In drie delen, waarvan er komende tijd iedere twee weken een deel verschijnt, is beschreven waarom uw DPO de verwachtingen wél gaat inlossen.

In Deel 1 is opgenomen welke verwachtingen en daarbij horende uitdagingen op het bordje liggen van de DPO. In Deel 2 kijken we naar een enigszins vergelijkbare functie, de Compliance Officer die reeds meer dan 15 jaar in Nederland bestaat. We kijken welke lessen de DPO kan leren van de Compliance Officer om succesvol te zijn. Deel 3 gaat over het inrichten van de DPO functie en het vervullen van de functie door de juiste persoon.

Deel 1: Verwachtingen en uitdagingen voor uw DPO

DPO als aanjager van het privacy belang

Zoals gezegd wordt door de Europese wetgever veel belang toegedicht aan de functie van DPO. De functie lijkt zelfs zo zwaar aangezet dat de DPO, gezien zijn wettelijke taken en bevoegdheden, maar zeker ook door zijn wettelijke bescherming (zie hieronder), een soort aanjager of voorvechter wordt van het privacybelang binnen een bedrijf of organisatie.

De DPO zal onder meer betrokken zijn bij de uitvoering van Privacy Impact Assessments (PIA’s) en het in kaart brengen van een register van alle verwerkingsactiviteiten van persoonsgegevens. Daarnaast heeft hij als uitdagende taak een cultuur te kweken waarin integere gegevensverwerking en transparantie centraal staat. Te denken valt hierbij aan het geven van opleidingen, trainingen en workshops.

Ook zal hij controleren of voldoende invulling wordt gegeven aan allerlei (nieuwe) rechten van burgers en klanten om zijn/haar persoonsgegevens: te vergeten (bv. ‘right to be forgotten’), over te dragen en/of in te zien. De toestemmingsvereisten uit de AVG om persoonsgegevens te mogen verwerken (opt-in) vragen ook aandacht. De DPO is ten slotte contactpersoon richting burgers / klanten en ook de externe toezichthouder (de Autoriteit Persoonsgegevens). Bovenliggend doel van de wet is het beschermen van persoonsgegevens van klanten en burgers door meer transparantie en integere verwerking van de gegevens.

Blatend schaap met vijf poten?

Om dit goed uit te kunnen voeren dient hij onderlegd te zijn in IT, privacywetgeving en de (business) processen om de uitdagingen te kunnen aangaan. Wij weten uit ervaring dat personen die dit alles in zich herbergen niet veel te vinden zijn in Nederland. Vaak ligt de nadruk op een of twee van deze elementen, maar zelden op alledrie. Wordt een schaap met vijf poten gezocht? En hoe groot is het risico dat dit dan een blatend schaap is waar niemand naar luistert?

DPO als countervailing power

Om de functie kracht bij te zetten en de functionaris als ‘countervailing power’ te laten optreden in het bedrijf of de organisatie, voorziet de Europese verordening in een vorm van ontslagbescherming voor de DPO. Deze bescherming is enigszins vergelijkbaar met die van een MR lid. Om de DPO rol verder te vergemakkelijken en hem in positie te brengen kent hij binnen zijn organisatie ook een onafhankelijke positie t.o.v. de bestaande business en rapporteert hij aan het hoogste management. Dit houdt in dat hij vooraf geen instructies krijgt en achteraf geen nadeel mag ondervinden van de standpunten die hij inneemt. Dit alles zal in de governance van een organisatie dus goed ingeregeld moeten gaan worden.

Leren van de Compliance Officer

De DPO kan beschouwd worden als een species van de Compliance Officer zoals die voornamelijk in de financiële sector is te vinden en ook steeds meer daarbuiten. Dit is een functie die haar nut heeft bewezen afgelopen jaren door haar aanjaagfunctie om integere handelen intern bespreekbaar te maken. Dat is niet zonder slag of stoot gegaan, maar de functie heeft zich wel degelijk een positie weten te verwerven binnen veel organisaties en levert toegevoegde waarde. De DPO zal naar verwachting een gelijke route bewandelen, en als hij slim is profiteert hij daarbij van de geleerde lessen van de Compliance Officer. Ook als uw organisatie geen Compliance Officer heeft, is het toch nuttig om het tweede deel op onze website te raadplegen.